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Réamhrá 


Cuirtear chun cinn sa Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR), ag leibhéal 
an Aontais Eorpaigh, go léireoidh eagrais mar a chomhlíonann siad forálacha an GDPR. 
Tá sé seo leagtha amach in Airteagail 42 agus 43 den GDPR, ina bpléitear le deimhniúchán 
cosanta sonraí agus ina gcuirtear ar chumas eagras bearta comhlíonta atá i bhfeidhm acu 
a léiriú agus a mhíniú agus, san am céanna, a chur ar a gcumas riachtanais GDPR a 
fheabhsú agus dul céim níos faide. Is féidir, dá réir, a dheimhniú go bhfuil cosaintí cuí ag 
eagrais chun sonraí pearsanta a phróiseáil. 


Is le leas daoine ar ábhar sonraí iad bearta den saghas seo óir cuirtear ar a gcumas an 
leibhéal cosanta sonraí a chuirtear ar fáil in oibríochtaí próiseála teicniúla agus 
eagraíochtúla eagrais a rochtain agus a thuiscint gan mhoill. Le cois Chóid Cleachtais 
GDPR, tá tábhacht le deimhniú óir cuirtear ar fáil uirlis cuntasachta phoiblí a chuireann 
ar chumas eagrais bearta comhlíonta a léiriú do dhaoine aonair, d'eagrais eile a n- 
oibríonn sé i bpáirt leo agus d'údaráis mhaoirseachta. 


Cuid lárnach de dheimhniú is ea "scéim dheimhniúcháin" mar a thugtar go forleathan 
uirthi. | gcomhthéacs GDPR, sainítear i scéimeanna den saghas na meicníochtaí atá i 
bhfeidhm chun sonraí pearsanta a phróiseáil agus mar a fheidhmítear rialuithe agus 
bearta cuí. Is féidir le foras deimhniúcháin creidiúnaithe, dá réir, iad seo a mheas. Má tá 
siad sásta, féadann foras deimhniúcháin a bhailíochtú agus a dhearbhú go bhfuil rialuithe 
agus bearta cuí curtha i bhfeidhm ag an eagras agus go gcomhlíonann a bpróiseas nó 
seirbhís ar leith riachtanais na scéime agus critéir cosanta sonraí. Ansin, féadann an foras 
deimhniúcháin a dhearbhú gur amhlaidh atá. Ina dhiaidh sin, déanann an foras 
deimhniúcháin cuí athbhreithniú agus monatóireacht ar eagrais dheimhnithe, lena 
chinntiú go leantar de chomhlíonadh na gcritéar. 


In Éirinn, is é an Coimisiún um Chosaint Sonraí (DPC) an t-údarás maoirseachta bainteach 
atá freagrach as faomhadh critéir cosanta sonraí i scéimeanna deimhniúcháin agus tá 
Bord Creidiúnaithe Náisiúnta Éireann (INAB) freagrach as creidiúnú Forais 
Deimhniúcháin (CBanna)' a fheidhmíonn scéimeanna den saghas. 


Cuimsítear sa treoir seo a leanas: 
= cur síos gearr ar dheimhniú GDPR agus mar a oibríonn an DPC i bpáirt le INAB, 
CBanna agus an Bord Eorpach um Chosaint Sonraí (EDPB) ar chúrsaí 
deimhniúcháin, 





TUaireanta tagraítear dóibh níos foirmiúla mar Fhorais Measúnaithe Comhréireachta (CABanna) 
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= gluais croí-shainmhínithe agus téarmaí a úsáidtear go forleathan, 
=" rannán Ceisteanna Coitianta (CCanna) ar ghnéithe ar leith de dheimhniú GDPR. 
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Deimhniú faoi GDPR 


Go hachomair, imeasc nithe eile, is é atá leagtha amach sa GDPR: 


= Tá iallach ar an DPC na critéir cosanta sonraí a fhaomhadh a fheidhmeofar laistigh 
de scéimeanna a bhaineann le táirgí agus/nó seirbhísí a phróiseálann sonraí 
pearsanta. 

=" Socrófar, le critéir na scéime go háirithe, mar a fheidhmítear oibríochtaí próiseála 
maidir le measúnú agus maolú rioscaí do shonraí pearsanta agus mar a shásaíonn 
agus a léiríonn siad comhlíonadh oibleagáidí bainteacha GDPR ag rialaitheoir 
agus/nó próiseálaí le cois mar a phléann siad le cearta úsáideora. 

= Ní mór d'Fhorais Deimhniúcháin (CB) creidiúnú chaighdeán idirnáisiúnta ISO- 
17065/2012 a bheith acu le gur féidir leo scéimeanna deimhniúcháin cosanta 
sonraí a bhronnadh. Is féidir scéimeanna nua a chruthú ar aon dul leis an 
gcaighdeán seo ionas go bhféadann forais deimhniúcháin é seo a ghnóthú trína 
bheith creidiúnaithe lena leithéid de scéim. 

=" Cuireann an GDPR iallach ar Bhallstáit a chinntiú go bhfuil forais deimhniúcháin 
creidiúnaithe de réir Airteagal 43 den GDPR. In Éirinn, is é Bord Creidiúnaithe 
Náisiúnta Éireann? (INAB) an t-aon fhoras creidiúnaithe amháin a fhéadann forais 
deimhniúcháin a chreidiúnú chun scéimeanna den saghas a sheachadadh Ie critéir 
fhaofa DPC. 

= Tá sraith "riachtanais bhreise" socraithe ag an DPC lena gcois siúd atá leagtha 





amach cheana féin in ISO 17065/2012, le riar ag an INAB nuair a thugann sé 
creidiúnú do CB a bhfuil rún acu scéimeanna cosanta sonraí a fheidhmiú. 

= Mar gheall ar riachtanais ISO-17065/2012 agus GDPR, tá scéimeanna 
deimhniúcháin cosanta sonraí teoranta ina réimse go dtí oibríochtaí próiseáil 
sonraí pearsanta. Ní chuireann sé seo bac ar an DPC agus ar an INAB comhoibriú 
le páirtithe leasmhara ar mheicníochtaí deimhniúcháin do phearsanra a bhfuil 
saineolas nó oibleagáidí cosanta sonraí acu ná d'uirlisí agus córais bhainistíochta 
a bhaineann le rialachas agus comhlíonadh, ach ní rachaidh siad seo faoi 
phróiseas foirmiúil DPC nó EDPB. 

= D'fhéadfaí scéimeanna a cheapadh le go n-oibreoidh siad ag leibhéal náisiúnta, nó 
ar fud an AE ("Séala AE" mar a thugtar air), ach sa dara cás beidh comhchritéir de 
dhíth a chuireann san áireamh úsáid i ngach Ballstát. 

=" Féadann eagrais iarratas deimhniúcháin a dhéanamh le CBanna faoi scéim ar leith 
agus é a úsáid mar shlí le comhlíonadh a n-oibríocht(aí) p(h)róiseála ar leith a léiriú 
- an "Sprioc Mheastóireachta" nó "ábhar deimhniúcháin". 


2Féach Alt 35 den Acht um Chosaint Sonraí 2018 - 
http://www.irishstatutebook.ie/eli/2018/act/7/section/35/enacted/en/htmliásec35 
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= D'fhéadfadh FBManna go háirithe glacadh leis go bhfuil soláthraithe nó 
próiseálaithe a bhfuil deimhniúcháin reatha, bhainteacha cosanta acu ag 
comhlíonadh oibríochtaí próiseála. 


Scéimeanna deimhniúcháin 

In Éirinn agus i mballstáit eile AE faoi láthair, níl aon scéim ná meicníocht deimhniúcháin 
atá iomlán faofa agus ar aon dul le hAirteagail 42 agus 43 den GDPR. Tá an EDPB agus 
gach údarás maoirseachta AE ag iarraidh ar pháirtithe leasmhara scéimeanna náisiúnta 
den chineál seo a cheapadh agus a dhearadh, chomh maith le scéimeanna nó "séalaí" ar 
fud AE. 


Tá an DPC ag comhoibriú le páirtithe leasmhara d'fhonn feidhmiú scéimeanna oiriúnacha 
a bhfuil critéir cosanta sonraí acu is féidir a fhaomhadh agus a chur os comhair an EDPB 
le go n-athbhreithneofar agus go bhfaomhfar iad. Tá ár bpróiseas aighneachta i gcomhair 
fhaomhadh foirmiúil chritéir dheimhniúcháin GDPR á fhorbairt againn faoi láthair. Dála 
údaráis mhaoirseachta eile, tá ár riachtanais bhreise creidiúnaithe d'fhorais 
deimhniúcháin curtha isteach againn fosta chuig an mBord Eorpach um Chosaint Sonraí 
le go dtabharfar a dtuairim. Nuair a bheidh na riachtanais creidiúnaithe seo d'fhorais 
deimhniúcháin agus ár gcomhaontú oibre le INAB tugtha chun críche agus foilsithe 
againn, beimid in ann glacadh le haighneachtaí foirmiúla i gcomhair critéir 
dheimhniúcháin. San idirlinn, fáiltímid roimh fhiosruithe ó eagrais agus ó pháirtithe 
leasmhara eile atá ag forbairt critéir dheimhniúcháin GDPR nó a bhfuil siad forbartha 
cheana acu. Tá ár sonraí teagmhála thíos. 


Nuair a bheidh scéimeanna den saghas faofa agus CBanna atá ag beartú na scéimeanna 
a fheidhmiú creidiúnaithe, féadann eagrais iarratas a chur isteach le go ndeimhneofar a 
n-oibríochtaí próiseála. Maidir le scéimeanna atá á bhfeidhmiú ag CB atá lonnaithe in 
Éirinn, INAB a bheidh i mbun an chreidiúnaithe. | gcás Séalaí AE, is sa bhallstát ina 
ndéanann an CB cinntí deimhniúcháin a dhéanfar an deimhniúchán ionas go bhféadfaidh 
eagrais Éireannacha deimhniú a iarraidh ar CBanna i mballstáit eile. Ar an dóigh chéanna, 
má fheidhmíonn CB in Éirinn Séala AE faofa, creidiúnaithe, féadann sé eagrais taobh 
amuigh d'Éirinn a dheimhniú. Faoi láthair, áfach, ní ann do Shéalaí AE faofa. 


Sainmhínithe 
Sainmhínítear a lán téarmaí a úsáidtear i dtreoirlínte EDPB agus i gcaighdeáin ISO i 
ndoiciméad ISO 17000. Tá a sainmhínithe féin ag caighdeáin ISO eile. 
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= Acht 2018: An tAcht um Chosaint Sonraí, trína gcuirtear GDPR i bhfeidhm a 
thuilleadh in Éirinn. 





= Creidiúnú: dearbhú tríú páirtí a bhaineann le gníomhaíochtaí an fhorais 
deimhniúcháin. Is é seo toradh an phróisis measúnaithe d'fhoras deimhniúcháin 
rathúil (mar chuid den phróiseas creidiúnaithe). 


=" Foras creidiúnaithe: foras a théann i mbun creidiúnaithe. Sa doiciméad seo agus 
in Éirinn, glactar leis gur INAB atá i gceist. 


" Iarratasóir: eagras a bhfuil iarratas déanta acu go ndeimhneofar a n-oibríochtaí 
próiseála. 


=" Deimhniú: an measúnú agus dearbhú neamhchlaonta, tríú páirtí go 
gcomhlíonann rialaitheoir sonraí agus/nó oibríochtaí próiseála de chuid próiseálaí 
critéir dheimhniúcháin. 


= Foras deimhniúchán (CB): foras tríú páirtí measúnaithe comhréireachta (CAB) a 
fheidhmíonn scéimeanna deimhniúcháin. 


= Critéir dheimhniúcháin: na critéir a dtomhaistear oibríochtaí próiseála eagrais 
ina n-éadan i leith scéim dheimhniúcháin. 


= Meicníocht deimhniúcháin: scéim fhaofa dheimhniúcháin atá ar fáil 
d'iarratasóir. Foras creidiúnaithe deimhniúcháin a chuireann an tseirbhís ar fáil, 
bunaithe ar chritéir fhaofa agus ar mhodheolaíocht mheasúnachta. Is é an córas 
é trínar féidir rialaitheoir agus/nó próiseálaí a dheimhniú. 


=" Scéim dheimhniúcháin: córas deimhniúcháin a bhaineann le táirgí, próisis agus 
seirbhísí sainithe lena mbaineann na riachtanais shainithe, rialacha sonracha agus 
gnáthaimh chéanna. Áirítear leis na critéir dheimhniúcháin (critéir cosanta sonraí 
GDPR san áireamh), caighdeáin ábhartha, infheidhme agus modheolaíocht 
mheasúnachta. 


= Cliant: eagras (an t-iarratasóir roimhe seo) atá deimhnithe ag an bhforas 
deimhniúcháin. 


3 Nuair a úsáidtear an téarma "cliant" sa Chaighdeán Idirnáisiúnta seo (ISO/IEC 17065/2012), 
baineann sé leis an "iarratasóir" agus leis an "cliant"araon, mura sainítear a mhalairt. 
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= Údarás maoirseachta inniúil (CSA): An tÚdarás maoirseachta GDPR a 
mhonatóiríonn agus a fhorfheidhmíonn feidhmeanna an GDPR ina chríocha. 
Cuirtear critéir cosanta sonraí faoi bhráid CSA le go bhfaomhfaí iad. 


s DPC: An Coimisiún um Chosaint Sonraí - Údarás maoirseachta na hÉireann maidir 
leis an GDPR. 


= Rialachán Ginearálta maidir le Cosaint Sonraí (GDPR): Rialachán EU/2016/679 
ar chosaint próiseáil sonraí pearsanta duine nádúrtha. 


= ISO 17065: Is é ISO/IEC 17065/2012 an caighdeán comhréireacht measúnachta ina 
sainítear na riachtanais d'fhorais a dheimhníonn táirgí, próisis agus seirbhísí. 


= Foras Náisiúnta Creidiúnaithe (NAB): An t-aon fhoras i mBallstát a ainmnítear 
de réir Rialachán (EC) Uimh 765/2008 de Pharlaimint agus Chomhairle na hEorpa 
a thugann creidiúnú faoi údarás de chuid an Stáit. In Éirinn, is é Bord Náisiúnta 
Creidiúnaithe Éireann (INAB) an NAB. Is é INAB an foras ábhartha i gcomhair 
dheimhniú GDPR in Éirinn. 





= Úinéir scéime: duine nó eagras atá freagrach as forbairt agus cothabháil scéim 
shainiúil deimhniúcháin. D'fhéadfadh sé gur foras deimhniúcháin, údarás rialtais, 
cumann trádála, grúpa d'fhorais deimhniúcháin nó eile an t-úinéir scéime. 


=" Sprioc Mheastóireachta (SM): an oibiacht atá le deimhniú. | gcás deimhniúchán 
GDPR, tagraíonn sé seo do na hoibríochtaí bainteacha próiseála atá an rialaitheoir 
agus/nó an próiseálaí ag iarraidh go measfar agus go ndeimhneofar iad. Bíonn 
riachtanaisí sainithe i scéimeanna deimhniúcháin chun go ndeimhneofar SM nó 
oibiacht deimhniúcháin lena n-áirítear na hoibríochtaí próiseála a shocraítear 
agus a mheasúnaítear i gcomhair deimhniúcháin. 


Déan Teagmháil Linn 
Má bhíonn ceisteanna go fóill agat i ndiaidh ár dtreoir agus CCanna a léamh, seol r-phost 
chuig certification@dataprotection.ie 





Tuilleadh eolais 
Tá eolas tábhachtach d'fhorais deimhniúcháin atá, nó atá ag beartú a bheith, ag feidhmiú 
in Éirinn ar shuíomh gréasáin INAB. 








4 Féach, mar shampla, ailt 4.1 agus 6.5 de ISO 17067 
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Tá eolas tábhachtach agus ábhartha fosta ar chuntasacht eagraíochtúil agus ar ghnéithe 
eile de chuid GDPR ar shuíomh gréasáin DPC. 





Treoirlínte EDPB 
Tá glactha ag an EDPB le treoirlínte ar chreidiúnú forais deimhniúcháin faoi Airteagal 43 





den GDPR (2016/679) agus ar oibríocht deimhniú eagras agus critéir dheimhniúcháin faoi 
Airteagal 42 agus 43 








Táthar ag dúil le go bhfoilseoidh an EDPB, in am is i dtráth, agus ar aon dul le hAirteagal 
42(2) treoirlínte ar leith chun aghaidh a thabhairt ar conas is féidir meicníochtaí 
deimhniúcháin a shocrú mar uirlisí aistrithe chuig tríú tíortha agus eagrais idirnáisiúnta. 


Is féidir teacht ar threoirlínte eile EDPB ar ghnéithe de phróiseáil sonraí pearsanta ar 
shuíomh gréasáin EDPB - https://edpb.europa.eu/our-work-tools/general-guidance en 





Eagrais caighdeán 

Bíonn ról suntasach ag caighdeáin i gcreidiúnú agus deimhniúchán GDPR. Is bunlíne 
chomhaontaithe, chomhsheasmhach iad, arna measúnú ag saineolaithe, i gcomhair 
meicníochtaí deimhniúcháin a fheidhmíonn CBanna. 


Tá an iomad foras agus eagras ar fud na cruinne a fhorbraíonn caighdeáin a d'fhéadfaí a 
chuimsiú i scéimeanna deimhniúcháin cosanta sonraí a bhfuil sé beartaithe acu feidhmiú 
i gcomhthéacs náisiúnta nó Eorpach. Tá an DPC ag dúil, cé gur dócha gur caighdeáin 
Éireannacha, Eorpacha nó Idirnáisiúnta a bheidh mar bhunús le scéimeanna 
deimhniúcháin cosanta sonraí, nach ceanglas dlúth é seo. Tá cuid acu seo cuimsithe thíos 
ar chúiseanna tagartha. 


Eagrais caighdeán Éireannacha agus Eorpacha 
" In Éirinn, an tÚdarás um Chaighdeáin Náisiúnta na hÉireann atá freagrach as 
forbairt Chaighdeáin na hÉireann. 
=" San Eoraip, is scátheagras do 34 foras caighdeán i dtíortha san Eoraip é Coiste na 
hEorpa um Chaighdeánú (CEN). Oibríonn CEN i bpáirt le CENELEC agus ETSI mar 
fhorais atá aitheanta ag an AE chun caighdeáin a fhorbairt agus a shainmhíniú ag 
leibhéal AE. 


Eagrais idirnáisiúnta agus earnála 
= Oibríonn An tAontas Teileachumarsáide idirnáisiúnta (ITU) na Náisiún Aontaithe 





ar chaighdeáin in earnáil na teileachumarsáide. 
= Isforas caighdeáin idirlín é Tascfhórsa Innealtóireachta an Idirlín (IETF) 
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= Forbraíonn Feadhnacht an Ghréasáin Dhomhanda (W3C) sonraíochtaí agus 
treoirlínte teicniúla d'Ardán Gréasáin Oscailte. 

=" In SAM, foras rialtais darb ainm National Institute of Standards and Technology 
(NIST) a chuireann teicneolaíocht, tomhais agus caighdeáin ar fáil, cúrsaí 
príobháideachta san áireamh. 


Eagraíocht Idirnáisiúnta na gCaighdeán - ISO 
Forbraíonn agus foilsíonn Eagraíocht Idirnáisiúnta na gCaighdeán caighdeáin a 





chomhaontaítear go hidirnáisiúnta. | measc na ndoiciméad atá foilsithe ag an ISO tá 
treoirlínte, nó catalóga de theicnící nó prionsabail. Iad sin a bhfuil riachtanais acu, is 
iondúil iad a bheith indeimhnithe nó d'fhéadfaí iad a chuimsiú i mbunús scéim nó 
meicníocht deimhniúcháin. Tá an ISO gníomhach i bhforbairt caighdeáin a bhaineann le 
príobháideacht. 


Ar na mallaibh, sheol ISO caighdeán nua chun cuidiú le heagrais plé le príobháideacht. - 
ISO 27701 - ach tá cuid mhaith caighdeáin bhainteacha eile acu ag céimeanna éagsúla 
forbartha agus cur i gcrích. Tá an liosta ar fáil ar a suíomh gréasáin agus áirítear leis roinnt 





caighdeán a bhaineann go díreach le deimhniú modhanna áirithe oibríochtaí próiseála. 


D'fhéadfadh eagrais atá ag iarraidh creidiúnú agus deimhniúchán GDPR spéis ar leith a 
bheith acu ina bhfuil thíos: 


= An caighdeán creidiúnaithe do tháirgí agus seirbhísí -ISO 17065 

= An caighdeán creidiúnaithe do phearsanra - ISO 17024 

= An caighdeán creidiúnaithe do chórais bhainistíochta - ISO 17021 

= Treoir ISO ar scéimeanna a fhorbairt do ISO 17065 - ISO 17067 

= Buntéarmaíocht agus bunphrionsabail ISO ar chreidiúnú- ISO 17000 

= Treoir ISO ar fhorbairt agus sainiú critéar nó riachtanas - ISO 17007 

="  Bunchaighdeán ISO d'fhorais creidiúnaithe - ISO 17011 

= Treoir ISO ar “chomhchritéir” a bhaineann le slándáil táirgí - ISO 15408 
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CCanna ar Dheimhniúchán 


Céard é Deimhniúchán ó thaobh GDPR de? 

Is é an sainmhíniú atá ag Eagraíocht Idirnáisiúnta na gCaighdeán (ISO) “Dearbhú tríú páirtí 
maidir le táirgí, próisis, córais nó daoine". Ciallaíonn sé seo go gcinneann agus go 
ndearbhaíonn measúnóir neamhspleách go bhfuil riachtanais shonracha comhlíonta, 
faoi mar a bhaineann sé le deimhniúchán. 


| gcomhthéacs an Rialacháin Ghinearálta maidir le Cosaint Sonraí (GDPR), is uirlis 
chuntasachta é an deimhniúchán faoi Airteagail 42 agus 43, a bhfuil critéir aige atá faofa 
ag an údarás maoirseachta agus a bhfuil a réimse teoranta go dtí oibríochtaí a bhaineann 
le próiseáil sonraí pearsanta. 


In Éirinn, ní mór d'fhorais deimhniúcháin a bhfuil sé beartaithe acu scéimeanna faofa 
deimhniúcháin cosanta sonraí a fheidhmiú a bheith creidiúnaithe ag Bord Náisiúnta 
Creidiúnaithe Éireann (INAB) ar aon dul le ISO 17065 agus le riachtanais bhreise faoi mar 
atá socraithe ag an gCoimisiún um Chosaint Sonraí (DPC). 


| gcomhthéacs níos leithne cosanta sonraí, iarrtar fosta ar údaráis mhaoirseachta 
deimhniúchán a chur chun cinn. Mar shampla. b'fhéidir go mbainfeadh sé le pearsanra a 
bhfuil saineolas cosanta sonraí acu, cuir i gcás Oifigeach Cosanta Sonraí (OCS) nó le 
hoibleagáidí nó le haghaidh uirlisí agus córais bhainistíochta a bhaineann le 
comhlíonadh. 


Beidh údaráis mhaoirseachta AE ag obair ar dheimhniúchán a chur chun cinn sna réimsí 
seo. | gcás roinnt údarás, is dócha go mbeidh fócas tosaigh gníomhaíochtaí 
deimhniúcháin ar scéimeanna atá ceaptha ag páirtithe leasmhara trínar féidir 
comhlíonadh oibríocht phróiseála a léiriú. Ar aon chuma, bíodh deimhniúchán ann i 
gcomhair oibríochtaí próiseála, pearsanra nó córais bhainistíochta, níltear ag dúil gur 
uirlis chuntasachta é chun comhlíonadh leathan nó "trasna an bhoird" GDPR a léiriú. 


Cé na réimsí oibre a bhaineann le scéimeanna deimhniúcháin? 

Tá scéimeanna le haghaidh fhaomhadh DPC faoi Airteagail GDPR 42 agus 43 le bheith 
teoranta ina réimse go dtí oibríochtaí próiseála agus níor chóir iad a fheidhmiú i gcomhair 
deimhniúchán leathan 'comhlíonadh GDPR' do phearsanra ná do chórais bhainistíochta 
(ach d'fhéadfaí pearsanra agus córais bhainistíochta a chuimsiú mar ghné den oibríocht 
phróiseála). 
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Táthar ag dúil go n-úsáidfear deimhniúchán faoi GDPR go háirithe chun comhlíonadh a 
léiriú maidir le: 

=" Airteagal 24 - Freagracht an rialaitheora 

= Airteagal 25 - Cosaint sonraí a cheaptar agus a réamhshocraítear 

= Airteagal 28 - Léiriú barántas ag an bPróiseálaí Sonraí 

= Airteagal 32 - Slándáil phróiseála 

= Airteagal 46 - Aistrithe trí chosaintí cuí 


Mar sin de, d'fhéadfaí scéimeanna teacht chun cinn sna réimsí seo a leanas de phróiseáil 
sonraí pearsanta: 
= trédhearcacht i soláthar trialacha cothromaithe leasa dhlisteanaigh; 
= dearadh córas teicniúil i bpróiseáil mórshonraí i gcomhair soláthar éifeachtach 
cearta úsáideora; 
= próiseáil éifeachtach dintiúir, slándáil agus bainistíocht le haghaidh údaraithe 
agus sonraí aitheantais; 
= teicnící sábháilte bréagainmnithe i bpróiseáil taighde leighis; 
= tástáil bogearraí do riachtanais cosanta sonraí i seirbhísí gréasáin comhéadan 
úsáideora; 
= formáidí agus cáilíochtaí coinneáil taifead, próisis rialaithe athruithe agus 
struchtúir chuntasachta do sheirbhísí ar líne a láimhseálann sonraí pearsanta; 
agus 
=" trédhearcacht éifeachtach d'algartaim a úsáidtear i soláthar seirbhísí poiblí. 


Cé na buntáistí a bhaineann le Deimhniúchán? 

Is uirlis amháin é an deimhniúchán a fhéadann eagrais a chuimsiú agus iad i mbun a n- 
oibleagáidí chuntasacht GDPR. Má dhéanann siad é seo féadann siad a n-oibríochtaí 
próiseála a fheabhsú agus, lena chois, a mbearta comhlíonta a léiriú. D'fhéadfadh na 
bearta seo a bheith de bhreis ar íosriachtanais GDPR agus an Achta um Chosaint Sonraí 
2018. 


Dá thoradh sin, d'fhéadfadh sé gur cuidiú é an deimhniúchán chun trédhearcacht do 
dhaoine ar ábhar sonraí iad agus caidreamh gnó le gnó a fheabhsú m.sh. idir rialaitheoirí 
agus próiseálaithe, go gcuirfear ar a gcumas measúnú níos tapa, níos cruinne a 
dhéanamh agus tuiscint a bheith acu ar leibhéal cosanta sonraí táirgí agus seirbhísí 
eagrais. Cuirfidh sé seo le muinín daoine ar ábhar sonraí iad as láimhseáil sonraí 
pearsanta á déanamh ag rialaitheoirí agus próiseálaithe deimhnithe. 


11 


An Leagan is Déanaí: Meán Fómhair 2020 


An riachtanas de chuid GDPR é an Deimhniúchán? 

Ní riachtanas ná oibleagáid do rialaitheoirí nó próiseálaithe sonraí é deimhniúchán GDPR 
agus is próiseas deonach é. Mar sin féin, féadann eagras ar mian leis a bhearta 
comhlíonta a léiriú deimhniúchán a úsáid chun é sin a ghnóthú. 


Cé a bhíonn rannpháirteach sa deimhniúchán agus cad a dhéanann siad? 
An iomad páirtithe atá bainteach le deimhniúchán agus creidiúnú GDPR 
=" Is é an DPC údarás neamhspleách na hÉireann atá freagrach as seasamh le 
buncheart daoine san AE go gcosnófaí a sonraí pearsanta. Is é afhaomhann critéir 
cosanta sonraí i scéimeanna deimhniúcháin, a shocraíonn riachtanais 
creidiúnaithe forais deimhniúcháin agus a dhéanann monatóireacht ar feidhmiú 
na gcritéar agus na riachtanas seo. 
=" Is é Bord Náisiúnta Creidiúnaithe Éireann (INAB) gníomhaireacht na hÉireann a 
thugann creidiúnú d'fhorais deimhniúcháin trí údarás ón Stát, de réir rialachán AE 
765/2008/EC, agus de réir shraith chaighdeáin agus threoracha ISO 17000. 
=" |s é an Bord Eorpach um Chosaint Sonraí (EDPB) an t-eagras GDPR a bunaíodh a 
fheidhmíonn, i measc nithe eile, meicníochtaí comhsheasmhachta maidir le 
húdaráis mhaoirseachta, lena n-áirítear cinntí maidir le critéir scéimeanna 





náisiúnta agus Shéala AE. 

=" İs eagrais iad Forais Deimhniúcháin (ar a dtugtar fosta Forais Measúnaithe 
Comhlíonta) a chuireann ar fáil seirbhísí measúnaithe agus dearbhaithe d'eagrais 
agus a dheimhníonn go gcomhlíonann a ngníomhaíochtaí na riachtanais a leagtar 
amach i scéimeanna deimhniúcháin. | gcás scéimeanna deimhniúcháin GDPR, 
déanann forais deimhniúcháin é seo do scéimeanna atá ar aon dul le caighdeán 
ISO 17065. 

=" Is páirtithe leasmhara iad Úinéirí nó Dearthóirí Scéime a fhorbraíonn scéimeanna 
nó meicníochtaí deimhniúcháin cosanta sonraí. 

=" Eagrais atá ag feidhmiú mar rialaitheoirí agus próiseálaithe sonraí ar mhaith leo 
go ndeimhneofaí a n-oibríochtaí próiseála. 

= Amach anseo, d'fhéadfadh Coimisiún AE reachtaíocht ar chaighdeáin, 
meicníochtaí agus riachtanais a fheidhmiú nó a tharmligean. 


Céard iad ‘riachtanais bhreise”? 

Socróidh údaráis mhaoirseachta a oibríonn leis na Forais Náisiúnta Creidiúnaithe a 
riachtanais bhreise creidiúnaithe féin d'fhorais deimhniúcháin atá ag iarraidh creidiúnú 
dá scéim cosanta sonraí. Is riachtanais iad seo atá de bhreis orthu sin atá leagtha amach 
cheana féin i gcaighdeán ISO 17065/2012 (agus roinnt eile a bhfuil gá ag an INAB leo). Tá 
siad dírithe ar a chinntiú go gcomhlíonann CBanna na hoibleagáidí atá leagtha amach in 
Airteagail 42 agus 43 de GDPR, amhail léiriú: 

=" saineolas maidir leis an inneachar cosanta sonraí atá le deimhniú 
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=" nósanna imeachta riarachán séalaí agus marcanna cosanta sonraí 
"= neamhspleáchas agus neamhchlaontacht ag na heagrais atá siad ag iarraidh a 
dheimhniú. 


Tá riachtanais creidiúnaithe DPC, a ndéanfaidh INAB riarachán orthu le linn a bpróiseas 
creidiúnaithe, foilsithe ar ár suíomh gréasáin. 





Cé na critéir ar gá do DPC iad a fhaomhadh? 
Is sraith riachtanais eagraíochta agus theicniúla iad na critéir a bhaineann le réimse 
sainmhínithe agus "oibiacht deimhniúcháin" (oibríocht ar leith nó sraith oibríochtaí 
próiseála): 

=" atá leagtha amach i scéim dheimhniúcháin 

= a chomhlíonann eagrais nuair a chuireann siad a mbearta agus rialuithe i 

bhfeidhm 
= atá le measúnú agus ag foras deimhniúcháin. 


Tá dúshraith na gcritéar deimhniúcháin cosanta sonraí le baint as prionsabail agus 
rialacha GDPR. Tá tuilleadh eolais ar fáil i dtreoirlínte EDPB ina bhfuil mionsonraí ar a 





bhfuiltear ag dúil leis. 


Cé a fhorbróidh scéimeanna agus critéir dheimhniúcháin? 

Leis an GDPR, féadann páirtithe leasmhara éagsúla, lena n-áirítear forais deimhniúcháin, 
grúpaí tionscail agus údaráis mhaoirseachta scéimeanna deimhniúcháin a fhorbairt. 
Bíonn an DPC ag dúil gur dócha gur forais deimhniúcháin iad úinéirí scéimeanna 
deimhniúcháin, atá ag obair i bpáirt le páirtithe leasmhara eile, a cheapfaidh agus a 
fhorbróidh scéimeanna ina saineofar critéir cosanta sonraí. 


Faoi láthair, níl scéim ar leith á forbairt ag an DPC ach seans go ndéanfaimid a leithéid 
feasta. Is é fócas reatha an DPC a chinntiú go bhfuil próisis agus córais i bhfeidhm againn 
féin agus ag an INAB chun deimhniúchán GDPR a éascú. 


Tá roinnt critéar le díorthú ó phrionsabail agus rialacha GDPR a bhfuil trí bhunghné ag 
gabháil leo: 
=" Ba chóir go mbainfeadh siad le próiseáil sonraí pearsanta 
= Ba chóir go mbainfeadh siad le córais theicniúla ar bith a úsáidtear chun na sonraí 
pearsanta a phróiseáil 
= Ba chóir go mbainfeadh siad leis an bpróiseas atá in úsáid san/sna hoibríocht(aí) 
próiseáil sonraí pearsanta 
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In Iarscríbhinn 2 de Threoirlínte 1/2018 tá treoir ar athbhreithniú agus measúnú critéir 
dheimhniúcháin. Sainaithnítear topaicí a mheasfaidh agus a fheidhmeoidh údarás 
maoirseachta cosanta sonraí agus an EDPB maidir le critéir dheimhniúcháin meicníocht 
deimhniúcháin a fhaomhadh. 


Cé leis/cén áit a ndéanann úinéir scéime nó foras deimhniúcháin iarratas ar 
fhaomhadh scéim dheimhniúcháin GDPR? 
Bunófar an rogha ar cén áit a bhfuil iarratas ar fhaomhadh critéar le cur ar ionad an 
úinéara scéim dheimhniúcháin agus ar a ról mar pháirtí leasmhar. Tá na mionsonraí 
maidir leis seo á gcur i gcrích ag INAB (a phléann le CBanna de ghnáth) agus ba chóir 
d'úinéirí scéime é seo a chinntiú le INAB agus DPC roimh ré. 
= Úinéirí scéime ar CBanna iad, ba chóir dóibh a scéimeanna agus iarratais a chur 
faoi bhráid an INAB go foirmiúil. Cuirfidh INAB é in iúl do DPC agus tosóidh DPC ar 
chritéir cosanta sonraí a mheasúnú. 
= Ba chóir d'úinéirí scéime nach CBanna iad a scéimeanna agus iarratais a chur faoi 
bhráid an DPC. Cuirfidh DPC é in iúl do INAB. 


Sa dá chás, seiceálfar réamh-riachtanais agus más léir nach bhfuil scéim nó critéir 
oiriúnach i gcomhair measúnachta, d'fhéadfaí iad a sheoladh ar ais chuig an úinéir. 
Cuirfear foirm iarratais ar fáil ar chomhlánú an phróisis seo. 


Cén suntas a bhaineann le Séala AE? 

Is féidir scéimeanna deimhniúcháin cosanta sonraí a cheapadh agus a úsáid ar bhonn 
náisiúnta nó AE. lad sin atá le húsáid ar fud an AE, is féidir 'Séalaí AE' a thabhairt orthu má 
fhaomhann an EDPB iad. 


Má tá scéim nó critéir dheimhniúcháin le húsáid ar fud an AE, is gá go mbeidh na critéir 
in-saincheaptha ar dhóigh a gcuirfear san áireamh aon rialachán náisiúnta a bhaineann 
le hearnáil ar leith nó aon riachtanas áitiúil. 


Is gá don údarás bainteach náisiúnta cosanta sonraí critéir gach scéime den saghas a 
mheasúnú maidir le bailíochtú agus faomhadh agus ina dhiaidh sin ag an EDPB lena meas 
faoi mheicníocht chomhsheasmhachta GDPR. 


Cad é mar is féidir fios a bheith againn an bhfuil próiseáil nó seirbhís eagrais 
deimhnithe? 

Go ginearálta, is dócha go dtiocfar ar an eolas seo ar shuíomh gréasáin an eagrais. Is 
dócha fosta go gcoinneoidh forais chreidiúnaithe dheimhniúcháin liosta cothrom le dáta 
d'eagrais a deimhníodh, réimse a ndeimhniúcháin (an tseirbhís nó próiseas a 
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deimhníodh), agus mionsonraí ar cén uair a bronnadh agus a bheidh deireadh leis an 
deimhniúchán. 


Foilseoidh an DPC a riachtanais creidiúnaithe agus mionsonraí aon chritéir scéime a 
fhaomhann sé (mar a dhéanfaidh an EDPB fosta). 


An gciallaíonn deimhniúchán go bhfuil eagras ag comhlíonadh GDPR? 

Ní chiallaíonn. Is meicníocht chuntasachta é deimhniúchán a chuireann ar chumas an 
rialaitheora sonraí a léiriú, le measúnú ó fhoras creidiúnaithe deimhniúcháin, gurb é 
cuspóir gnéithe áirithe oibríocht phróiseála aon bheart maolaithe riosca a ghabhann leo 
GDPR a chomhlíonadh. 


Dá thoradh sin, is tábhachtach a chuimhneamh nach gciallaíonn deimhniúchán gur cinnte 
go bhfuil oibríocht phróiseála eagrais ag comhlíonadh GDPR. Ní féidir cinneadh 
comhlíonta GDPR a dhéanamh go dtí go scrúdóidh údarás maoirseachta oibríocht 
phróiseála. 


Cad é an difear idir "deimhniúchán GDPR" agus deimhniúcháin eile? 
Baineann deimhniúchán faoi GDPR le foras creidiúnaithe deimhniúcháin measúnú a 
dhéanamh ar oibríocht phróiseála eagrais faoi scéim dheimhniúcháin ina bhfuil critéir atá 
faofa ag an údarás maoirseachta bainteach agus ag an EDPB. 


Maidir le forais chreidiúnaithe deimhniúcháin, is féidir leo deimhniúcháin eile a 
bhaineann le sonraí pearsanta a dhéanamh faoi scéimeanna nach bhfuil critéir acu atá 
faofa ag údarás maoirseachta má bhaineann siad le nithe eile seachas oibríochtaí nó 
seirbhísí próiseála. Mar shampla, d'fhéadfadh scéimeanna den saghas tabhairt faoi 
cháilíochtaí agus taithí pearsanra, amhail oifigeach cosanta sonraí nó córas bainistíochta 
ina sainmhínítear polasaithe agus nósanna imeachta i ngníomhaíochtaí eagrais. 


Is féidir le heagrais dhifriúla cineálacha eile deimhniúcháin a ghnóthú fosta i gcomhar le 
gníomhaireachtaí caighdeáin eile ach seans nach mbeadh baint ná gá acu le maoirseacht 
agus dearbhú chreidiúnú INAB. 


Céard é ISO/IEC 17065/2012? 

Cuireann Airteagal 43 de GDPR iallach ar bhallstáit AE nach ndéanann a n-údarás 
deimhniúcháin creidiúnú iad féin, a chinntiú go gcreidiúnófar forais deimhniúcháin ina 
bhfuil saineolas ar chosaint sonraí trí fhoras náisiúnta creidiúnaithe a úsáideann 
caighdeán ISO 17065. 
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In Éirinn, is é INAB atá freagrach as an gcreidiúnú seo agus an DPC atá freagrach as na 
riachtanais bhreise a shainmhíniú a fheidhmeoidh INAB i leith forais deimhniúcháin den 
saghas. 


Is caighdeán idirnáisiúnta é ISO 17065 do CBanna a bhfuil sé beartaithe acu táirgí, próisis 
agus/nó seirbhísí a dheimhniú faoi mar atá sainmhínithe i scéimeanna nó meicníochtaí 
deimhniúcháin ar leith. Tá leagtha amach ann: 


= riachtanais ghinearálta, lena n-áirítear cúrsaí dlí agus conartha, bainistíocht 
neamhchlaontachta, dliteanais agus cistiúcháin, coinníollacha 
neamhleithchealacha, rúndacht agus faisnéis atá ar fáil don phobal; 

= riachtanais struchtúracha, lena n-áirítear struchtúr eagraíochtúil agus 
ardbhainistíochta agus meicníocht chun neamhchlaontacht a chosaint; 

= riachtanais acmhainní, lena n-áirítear pearsanra foras deimhniúcháin, 
acmhainní i gcomhair gníomhaíochtaí meastóireachta agus seachfhoinsiú; 

= riachtanais próisis, lena n-áirítear iarratais, athbhreithniú iarratais, 
meastóireacht, athbhreithniú, cinneadh faoi dheimhniúchán, cáipéisíocht 
deimhniúcháin, eolaire de tháirgí deimhnithe, faireachas, muirir a théann i 
bhfeidhm ar dheimhniú, scor, laghdú, fionraíocht nó cealú deimhniúcháin, taifid, 
agus gearáin agus achomhairc; 

= riachtanais córas bainistíochta - lena n-áirítear roghanna cáipéisíocht córas 
ginearálta bainistíochta, rialú doiciméad, rialú taifead, athbhreithniú bainistíochta, 
iniúchtaí inmheánacha, bearta ceartaitheacha agus coisctheacha. 


Faoi GDPR, sa chás nach ndéanann údarás maoirseachta Ballstáit an creidiúnú iad féin, 
saineoidh siad riachtanais bhreise a fheidhmeoidh a NAB i leith forais deimhniúcháin atá 
ag iarraidh creidiúnaithe chun scéim cosanta sonraí a fheidhmiú. Leagtar amach sa scéim 
na paraiméadair seo a leanas: 


= an táirge, próiseas agus/nó seirbhís shainiúil atá le deimhniú - i dtéarmaí GDPR, is 
féidir é seo a fheiceáil mar "oibríocht phróiseála"; 

= na riachtanais shainiúla (m.sh. caighdeáin) is gá don táirge, próiseas agus/nó 
seirbhís a chomhlíonadh; 

= critéir shamplála don sprioc-oibríocht phróiseála atá le deimhniú; 

= cineálacha agus teaglamaí de theicnící measúnaithe comhréireachta (m.sh. 
iniúchadh, cigireacht nó tástáil) a úsáidfear chun an táirge, próiseas agus/nó 
seirbhís a mheas; 

= an próiseas atá le feidhmiú sa mheastóireacht, athbhreithniú agus cinneadh; 

= an marc comhréireachta agus an rialú a ghabhann leis; 

= Aon ghníomhaíocht is gá a dhéanamh le linn an fhaireachais. 
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An Leagan is Déanaí: Meán Fómhair 2020 


Faoi GDPR, is gá critéir a bheith ag scéimeanna deimhniúcháin cosanta sonraí nach mór 
d'údarás maoirseachta cosanta sonraí nó don EDPB a fhaomhadh. 


Sna doiciméid ISO seo a leanas tá treoir ar conas scéimeanna deimhniúcháin a chur sa 
siúl agus a bhainistiú do tháirgí, próisis agus seirbhísí: 


= [ISO/IEC 17067:2013, Measúnú comhréireachta - Bunphrionsabail deimhniúcháin 
táirge agus treoirlínte do scéimeanna deimhniúchóin táirge 

=" ISO/IEC 17026, Measúnú comhréireachta - Sampla de scéim deimhniúcháin táirge, ina 
bhfuil treoir ar conas scéimeanna deimhniúcháin a chur sa siúl agus a bhainistiú do 





tháirgí, próisis agus seirbhísí 
= ISO 17007, Measúnú comhréireachta - Treoir ar dhoiciméid normatacha a dhréachtú 
atá oiriúnach le húsáid sa mheasúnú comhréireachta 





Iarscríbhinn 2 de Threoirlínte EDPB 1/2018 ina bhfuil treoir ar athbhreithniú agus 
measúnú critéir dheimhniúcháin. Aithnítear inti topaicí a mheasúnódh agus a 
d'fheidhmeodh údarás cosanta sonraí agus an EDPB chun critéir dheimhniúcháin 
meicníocht deimhniúcháin a fhaomhadh. 





Tá glactha ag an EDPB fosta le treoirlínte ar chreidiúnú forais deimhniúcháin faoi 


Airteagal 43 den GDPR (2016/679) 
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